Cardano ユーザー必見！偽 Eternl アプリ注意

みなさん、こんにちは。今回は Cardano ユーザーを狙ったフィッシング攻撃についてお伝えします。

偽の Eternl デスクトップアプリでリモートアクセス型マルウェアが拡散中

最近、Cardano のユーザーをターゲットにしたフィッシングキャンペーンが確認されました。攻撃者は「Eternl Desktop」という偽のウォレットアプリのダウンロードを促すメールを送りつけています。

このメールは非常に巧妙で、Diffusion Staking Basket プログラムの NIGHT や ATMA トークン報酬に関する内容を盛り込み、信頼感を演出しています。

セキュリティ研究者の Anurag さんによると、攻撃に使われているインストーラーは新規登録されたドメイン（download.eternldesktop.network）から配布されており、23.3MB の Eternl.msi ファイルの中に「LogMeIn Resolve」というリモート管理ツールが隠されています。

このツールはユーザーの気づかないうちにシステムに不正アクセスを確立し、遠隔操作を可能にしてしまうものです。

マルウェアの動作と危険性

インストーラーは unattended-updater.exe という実行ファイルをシステムのプログラムファイル内に作成し、複数の設定ファイル（unattended.json など）を書き込みます。

特に unattended.json はユーザーの操作なしでリモートアクセスを有効にする設定が含まれており、ネットワーク解析では GoTo Resolve のインフラに接続していることが確認されています。

このマルウェアはシステムのイベント情報を JSON 形式で外部サーバーに送信し、攻撃者はこれを使って長期的なシステムの乗っ取りやコマンド実行、さらには認証情報の収集を行う可能性があります。

メール自体は文法やスペルミスがなく非常にプロフェッショナルに見えるため、見分けがつきにくいのも特徴です。

偽のアプリは公式の Eternl Desktop とほぼ同じ見た目で、ハードウェアウォレット対応やローカルキー管理、高度な委任コントロールなどの説明も巧みに模倣しています。

Cardano ユーザーは特に注意が必要

攻撃者は Cardano のガバナンスやエコシステムに関する話題を利用し、ユーザーの信頼を得ようとしています。NIGHT や ATMA トークンの報酬に関する言及はその一例です。

Cardano のステーキングやガバナンス機能に参加しようとするユーザーは、こうしたソーシャルエンジニアリングの手口に特に警戒が必要です。

今回のインストーラーは公式の検証やデジタル署名がなく、新規ドメインから配布されているため、正規のチャネル以外からのダウンロードは避けるべきでしょう。

Anurag さんの分析によれば、この攻撃はサプライチェーンを悪用し、被害者のシステムに持続的な不正アクセスを確立しようとするものです。

GoTo Resolve のリモート管理機能を悪用されると、ウォレットのセキュリティや秘密鍵の安全性が大きく脅かされる可能性があります。

どんなに見た目がプロフェッショナルなメールでも、信頼できる公式サイトや認証済みの配布元以外からのウォレットアプリのダウンロードは控えましょう。

今回の情報は、Cardano ユーザーにとって非常に重要な注意喚起となりそうです。こうした巧妙なフィッシング攻撃は今後も増える可能性があるため、常に最新の情報をチェックし、慎重に行動することが求められますね。引き続きウォッチしていきたいですね！